오늘날 정보보안의 위협이 갈수록 커지고 네트워크의 규모가 급격히 증가함에 따라 사회 전반의 정보보안 투자 확대가 시급한 선결 과제로 떠오르고 있다. 그러나 최근 몇 년간 공공기관 및 기업 등 사회 곳곳에서 지속적으로 발생하고 있는 해킹과 정보 유출 사건 사례들을 보면, 정작 정보보안 및 개인정보보호 분야에 대한 인식과 투자는 우리가 처한 현실에 비해 매우 부족한 실정이다.
한편, 이러한 실정에서 미국의 비영리 연구 기관인 RAND 연구소는 더욱 효율적인 보안 투자 방안을 제시하고자 기업의 보안 과정 수립에 영향을 미치는 경제적 요인들을 체계적으로 분석하고, 이를 바탕으로 구체적인 투자규모와 손실예측 시뮬레이션을 제공하는 휴리스틱 모델(Heuristic Model)을 제시했다.
휴리스틱 모델은 사이버 공격 비용과 조직의 보안 지출 사이의 역학 관계를 바탕으로 향후 10년 동안 모든 기업의 사이버 보안 리스크 관리 비용이 38% 증가할 것으로 전망했다. 재미있는 점은 본 모델이 강력한 보안 시스템 구축보다는, 효율적인 보안 투자에 초점을 맞추고 있다는 것이다.
실제로 RAND 연구소는 사이버 공격으로 인한 직접적인 손실보다 보안 툴에 대한 투자 비용 증가가 기업의 전반적인 보안 비용 규모에 영향을 미칠 것이라 분석했다.
그렇다면 기업은 보안 비용 관리를 위해 보안 툴에 대한 투자를 감축해야 할까? 사이버 공격의 유형과 빈도는 날로 증가하고 있으며, 공격 기술 또한 고도화되고 있다. 이러한 시점에서 보안 툴에 대한 투자를 줄인다는 것은 사실상 시대의 흐름에 역행하는 선택이다. 앞으로 기업은 더욱 많고 강력한 사이버 공격에 노출될 것이며, 보안 투자를 하지 않을 경우 투자 비용을 상회하는 큰 손실을 입게 될 것임은 분명하다.
따라서, 궁극적으로 보안에 대한 투자가 장기적인 관점에서 더욱 효율적인 선택이며 이제 기업들은 가장 효율적인 보안 투자 전략을 마련하고자 고민해야 하는 시점에 이르렀다. 그렇다면 기업이 효율적인 보안 투자를 위해 고려해야 할 요소는 무엇일까?
■ 보안 솔루션에 왕도는 없다
먼저 각 기업은 규모와 네트워크 환경, 인력 구성, 사업분야 등 다양한 내외부적인 요소를 고려하여 이에 맞는 최적의 보안 투자 전략을 취해야 한다. 이는, 각 기업이 보안 인프라, 직원 교육, 개인용 디바이스 제한 여부, 기업 네트워크 환경의 특성 등 서로 다른 상황에 처해 있는 만큼, 이러한 특성을 고려한 가장 효율적인 보안 투자 전략을 수립해야 한다는 의미이다.
기본적으로 기업의 규모와 특성에 따라 취해야 하는 보안 투자 전략에는 차이가 있다. 특히 방대한 양의 지적재산을 보유한 대기업의 경우 더욱 광범위한 분야에 걸쳐 정교한 공격을 받을 가능성이 높다.
또한, 이러한 공격으로 인한 손실 규모도 더 크기 때문에 보다 적극적인 보안 투자는 필수라 할 수 있다. 규모가 작은 중소기업은 상대적으로 정교한 공격을 받을 가능성이 적어 기본적인 보안 툴과 정책만으로도 많은 혜택을 볼 수 있다. 이에 반해 대기업은 보안 정책과 도구 전반에 대한 보다 포괄적이고 적극적인 투자가 필수적으로 요구된다.
많은 보안 툴에는 툴 반감기가 있으며, 그 가치가 하락할 위험이 있다
공격자들의 해킹 기술은 하루가 다르게 발전하고 있으며, 사실상 보안 기술자들은 이를 쫓아가기도 벅찬 실정이다.
사실 과거 PC 기반의 네트워크 환경이 주를 이루던 시절에는 이메일로 악성코드를 무단 살포하는 단순한 방식이 일반적이었다. 하지만 모바일 환경으로 넘어오면서 해커들의 접근법은 눈에 띄게 달라졌다. 스마트폰 자체가 개인을 증명하는 도구로 활용되면서 스마트폰에 담긴 은행 계좌와 비밀번호 정보, 사용자의 위치, 통화 내용 등이 고스란히 해킹의 대상이 되었다.
이처럼 공격자는 새로운 보안 기술에 대한 대응 방식을 꾸준히 개발하기 때문에 보안 툴의 상대적인 효과는 시간이 지남에 따라 제한될 수밖에 없다. 따라서, 기업은 증가하는 보안 툴에 대한 투자 비용을 현명하게 관리하기 위해 새로운 공격에 대응할 수 있는 다양한 유형의 보안 도구를 적절히 결합하여 방어해야 한다.
■ 인적 자원의 중요성
전문가들은 보안에 있어 모든 공격을 100% 차단할 수 있는 무적의 방패는 없다고 말한다. 따라서 보안의 무결성은 결국 많은 부분에서 보안 시스템을 구축하고 운영하는 인적자원의 능력과 성실성에 달려 있다고 봐도 무방하다.
휴리스틱 모델 또한 보안 인력의 성실성을 중요한 보안 요소로 평가한다. 새로운 도구에 대한 투자만큼이나 보안에 대한 전문적인 지식과 인식을 보유한 전문가를 확보하는 것이 장기적으로 보안 비용 절감에 큰 효과가 있다는 의미이다.
따라서 기업은 보다 효율적인 보안 투자를 위해 새로운 보안 툴과 시스템을 확보하는 것 외에도, 보안 전문가를 육성하고 교육하여 전문적인 보안팀을 확장하는 데 보다 적극적인 노력을 기울여야 한다.
■ 기로에 선 사물인터넷(IoT: Internet of Things)
최근 미래창조과학부가 경제협력개발기구(OECD)에서 발표한 ‘2015 디지털경제 전망’ 보고서에 따르면, 한국의 사물인터넷 연결기기는 1800만 대로 미국(8400만 대), 중국(7800만 대)에 이어 3위를 기록했다. 인구 100명당 연결 기기 수 부문에서는 1위를 차지했으며, 2020년에 이르면 국내 IoT 연결 단말은 무려 10억 개에 육박할 전망이다.
이처럼 우리가 의식하지 못하는 사이에 한국은 사물인터넷 시대로 진입하고 있으며, 기업들은 지금부터 IoT 연결 단말들을 보안 프로그램과 네트워크에 어떻게 포함시킬 것인지에 대해 심사숙고해야 한다. 기업이 기하급수적으로 늘어나는 IoT 연결 단말의 보안 시사점에 대한 적절한 대응책을 마련하지 못한다면 초기 PC 시대에 발생한 보안 문제보다 더욱 심각한 상황에 직면하게 될 것이며, 이는 고스란히 기업의 손실과 투자비용 증가로 나타나게 될 것이다.
■ 소프트웨어 취약점 제거와 비용절감
기업의 보안에는 막강한 보안 툴과 전문성을 갖춘 기업의 CISO가 통제할 수 없는 부분도 존재한다. 이는 기업에서 사용하는 소프트웨어와 애플리케이션에 존재하는 취약성이다.
기업이 사용하는 소프트웨어와 애플리케이션을 통해 악용 가능한 취약성 빈도는 보안 비용에 막대한 영향을 주는 부분 중 하나이다. 업무에서 사용하는 기본 시스템이나 소프트웨어가 안전하지 않을 경우 이를 보호하기 위한 보안 조치에 많은 비용을 투자해야 한다.
특히, IoT로 인해 기기와 소프트웨어의 종류가 다양해짐에 따라 이러한 비용 투자 규모는 더욱 증가할 전망이다. 따라서 기업은 운용 중인 소프트웨어를 자체적으로 검사하고, 소프트웨어 공급자에게 더욱 우수한 보안 테스트 및 패치를 요구하는 등 보다 적극적인 노력을 기울여야 한다.